关注内容
1. 企业股权架构:了解公司的股权结构,确定控股子公司,收集边缘业务系统资产。
2. 网站备案:获取公司的备案信息,包括根域名及其子域名。
3. 对外发布的产品:收集公司公开发布的产品信息,包括小程序、公众号 APP 、 IoT 设备等。
4. 法人电话号、邮箱:获取公司法人的联系方式,可能作为渗透测试的联络点。
用处
获取控股子公司名称,收集边缘子公司资产,为漏洞挖掘提供更多可能性。
获取网站备案信息,帮助定位公司的在线资产,包括可能的子域名和 IP 地址。
收集对外发布的产品信息,发现额外的网络资产,扩大漏洞挖掘的范围。
获取法人联系方式,可能为进一步的社会工程学攻击提供线索。
收集思路
1. 整理股权结构:在开始收集子域名之前,先统计目标公司的股权架构,确定控股子公司,重点关注可能
存在的边缘业务系统。
1. 获取备案信息:收集公司的网站备案信息,包括根域名和子域名,以便确定在线资产的范围。
2. 分析产品发布:查找公司对外发布的产品信息,了解其扩展的网络资产,可能包括小程序、 APP
等。
3. 联系法人:尝试获取公司法人的电话号码和邮箱,可能作为进一步攻击的联络点。
主域名
ICP备案查询
1.爱站网(站长seo综合查询工具-爱站网)
2.爱企查
(爱企查首页 - 专业企业查询平台 - 查企业 - 查老板 - 查风险 - 工商信息查询系统 (baidu.com))
3.站长之家(ICP备案查询_APP及小程序备案查询 - 站长工具)
whois查询
阿里云 WHOIS 查询 链接 : https://whois.aliyun.com 简介 : 通过阿里云提供的 WHOIS 查询服务,可以获取域名的注册信息、DNS 服务器、注册商等信息。
腾讯云 WHOIS 查询 链接 : https://whois.cloud.tencent.com/ 简介 : 腾讯云提供的 WHOIS 查询服务,用于查询域名的注册信息、DNS 服务器、注册商等详细信息。
中国互联网信息中心( CNNIC ) IP WHOIS 查询 链接 : http://ipwhois.cnnic.net.cn/ 简介:中国互联网信息中心提供的 IP WHOIS 查询服务,可查询中国境内 IP 地址的注册信息、网段归属等。
国外的whois https://who.is/
以阿里云为例
子域名
搜索引擎收集
Google
链接 : https://www.google.com/ 特点 : 提供了强大的搜索功能,但需翻墙。
常用语法 :
site:xxx.cn :限定搜索特定域名下的页面。
intext:" 身份证 " intext:" 电话 " filetype:xlsx OR filetype:pdf OR filetype:docs :搜
索包含指定关键词和后缀的文件。
inurl:xxx :指定搜索特定 URL 中包含的关键词,可能发现额外的资产。
Google里的google-hacking
Bing
公众号:渗透安全HackTwo 公众号:渗透安全HackTwo
链接 https://cn.bing.com/ 特点 : 不需要翻墙即可访问,适合获取基本信息。搜索结果可能略显模糊。常 用语法: 与Google类似,但搜索结果可能不如 Google 精准。
百度
- 链接 : https://www.baidu.com/ 特点 : 适用于搜索国内内容,包括信息泄露和隐藏路由。常用语法 :
类似于 Google 和 Bing ,但结果主要包括国内网站。
fofa https://fofa.info/
搜索子域名语法:domain="xxx.com"
爆破收集
1.subDomainsBrute( https://github.com/lijiejie/subDomainsBrute )
subDomainsBrute 是一个高并发的 DNS 暴力枚举工具,可以帮助用户快速地发现目标域名的子域名。
2.layer
Layer 子域名挖掘机是一款强大的域名查询工具,提供了多种查询模式和功能,可以帮助用户快速发现目标网站的子域名信息。其主要特点包括简洁的界面、简单的操作模式以及多种查询方式,适用于各种情况下的域名挖掘需求。
3.oneforall( https://github.com/shmilylty/OneForAll )
OneForAll 是一个强大的子域名收集工具,提供了一键式的子域名收集功能。
SSL证书
censys(Censys Search)
https://crt.sh/
第三方DNS
通过储存用户访问url时执行的DNS解析构建数据库
VirusTotal - Home
IP资产收集
c段,旁站
查旁站( ip段网站查询 旁站查询 C段网站查询 查旁站 (chapangzhan.com))
中国互联网信息中心查询ip段
(Whois (cnnic.net.cn))
通过asn
( https://asnlookup.com)
脆弱资产收集
端口扫描
常用的端口扫描工具包括 Nmap 和 Masscan等 。
指纹识别
ehole:
https://github.com/EdgeSecurityTeam/EHole
TideFinger:
https://github.com/TideSec/TideFinger
云悉:
yunsee.cn-2.0
潮汐:
Tide安全团队统一登录认证平台
waf识别
判断安全狗、阿里云云盾、 360 网站卫士、护卫神等 WEB 应用程序防火墙,便于采取绕过 WAF 的办法。
Nmap 探测 WAF 有两种脚本。一种是 http-waf-detect 。命令: nmap -p80,443 --script=http-waf-detect ip 一种是 http-waf-fingerprint 。命令: nmap -p80,443 --script=http-waf-fingerprint ip
WAFW00F 探测
WAF 命令: wafw00f -a 域名
wafw00f: https://github.com/EnableSecurity/wafw00f
目录探测
收集到wb资产后,通过目录爆破可以获取到敏感路径,文件。
例如login、,resgister、admin页面,亦或者是一些备份文件、例如数据库备份文件、git源码、svn源码。
dirmap:https://github.com/H4ckForJob/dirmap
支持从JS中获取路径进行拼接访问
御剑
绕过cdn
如果网站存在CDN,那么你拿到的P也是一个分发的虚拟节点,在这个节点所搜集的信息基本是无用功。
所以,我们必须绕过CDN去找到网站的真实P。
那么我们要如何判断一个网站是否存在一个CDN呢?
——利用超级ping
利用在线网站进行全国多地区的ping服务器操作,然后对比每个地区ping出的ip结果,查看这些ip是否一致,如果都是一样的,极有可能不存在CDN。如果i叩大多不太一样或者规律性不强,可以尝试查询这些ip的归属地,判断是否存在CDN。以http:/ping.chinaz.com为例子,去ping一下百度搜索的ip,这种就是很大几率存在CDN的。
可以用以下网站
http://ping.chinaz.com/
http://ping.aizhan.com/
js敏感信息
firefox插件:firefox插件--findsomething
jsfinder
https://github.com/Threezh1/JSFinder
在js中,会泄露一些地图的api-key、或者是一些存储桶的ak、sk、token等。